Задълбочен анализ на наскоро открит зловреден софтуер, наречен Decoy Dog (куче примамка), разкри, че той е значително подобрен спрямо Pupy RAT – троянски кон за отдалечен достъп с отворен код, който е създаден по негов модел.

„Decoy Dog има пълен набор от мощни, непознати досега възможности – включително способността да премества жертвите на друг контролер, което им позволява да поддържат комуникация с компрометираните машини и да останат скрити за дълги периоди от време“, казва Infoblox в доклад от вторник. „Някои жертви са комуникирали активно със сървър на Decoy Dog в продължение на повече от година.“

Други нови функции позволяват на зловредния софтуер да изпълнява произволен Java код на клиента и да се свързва с контролери за спешни случаи, като използва механизъм, който е подобен на традиционния алгоритъм за генериране на DNS домейни (DGA), като домейните на Decoy Dog са разработени така, че да отговарят на възпроизведени DNS заявки от пробити клиенти.

„Decoy Dog е добавила функционалност, която не е налична в Pupy“, казва д-р Рене Бъртън, ръководител на отдела за разузнаване на заплахи в Infoblox, пред The Hacker News. „По-специално, то има команда, която казва на компрометираното устройство да спре да говори с текущия контролер и да започне да говори с друг контролер. Можем да определим това с помощта на статистически анализ на DNS заявките“.

Сложният инструментариум е открит за първи път от фирмата за киберсигурност в началото на април 2023 г. след засичане на аномална активност на DNS маяците, което разкрива силно насочените му атаки срещу корпоративни мрежи.

Произходът на Decoy Dog засега остава неясен, но се предполага, че се управлява от шепа хакери от национални държави, които използват различни тактики, но отговарят на входящи заявки, които съответстват на структурата на комуникацията с клиента.

Decoy Dog използва системата за имена на домейни (DNS), за да осъществява командване и контрол (C2). Крайната точка, която е компрометирана от зловредния софтуер, комуникира с контролер (т.е. сървър) и получава инструкции от него чрез DNS заявки и отговори на IP адреси.

Твърди се, че участниците в заплахата, които стоят зад операцията, са направили бързи корекции в инфраструктурата си за атаки в отговор на по-ранните разкрития, като са свалили някои от DNS сървърите за имена, както и са регистрирали нови заместващи домейни, за да установят дистанционна устойчивост.

„Вместо да прекрати дейността си, участникът прехвърля съществуващите компрометирани клиенти към новите контролери“, отбелязва Infoblox. „Това е изключителна реакция, която показва, че извършителят е сметнал за необходимо да запази достъпа до съществуващите си жертви.“

Първото известно разгръщане на Decoy Dog датира от края на март или началото на април 2022 г., след което са открити три други клъстера, които са под контрола на различни контролери. Към днешна дата са открити общо 21 домейна на Decoy Dog.

Нещо повече, един набор от контролери, регистрирани от април 2023 г., се е адаптирал, като е включил техника за геофенсинг, за да ограничи отговорите към клиентски IP адреси до определени местоположения, като наблюдаваната активност е ограничена до Русия и Източна Европа.

„Липсата на разбиране за основните системи на жертвите и уязвимостите, които се използват, прави Decoy Dog постоянна и сериозна заплаха“, казва Бъртън. „Най-добрата защита срещу този зловреден софтуер е DNS.“

„Очакваме участниците да се променят самостоятелно въз основа на новите доклади. Участниците могат да променят някои аспекти на своя C2, например кодирането, сравнително лесно, но други елементи са трудни за промяна и са присъщи на избора им на DNS като C2 механизъм.“

„Истинският въпрос е защо те са избрали да модифицират Pupy за своя C2? Какво е това в този RAT, от което те се нуждаят или което желаят за тези операции? Има много други избори, но те са направили този, когато не е известно друго злонамерено внедряване на Pupy в миналото. Как ще реагират на нашата актуализация ще зависи от това защо са избрали да направят или използват Decoy Dog на първо място.“

Източник: The Hacker News

Подобни публикации

16 юни 2025

Grafana — над 46 000 сървъра все още са уязвими

Над 46 000 Grafana сървъри с публичен достъп все още изпълняват неа...
16 юни 2025

WestJet потвърди кибератака, засегнала нейни си...

WestJet, втората по големина авиокомпания на Канада, потвърди, че н...
16 юни 2025

Anubis с нов разрушителен механизъм

Групата Anubis, действаща като платформа „рансъмуер като услуга“ (R...
16 юни 2025

Потребителите искат старите функции да се върна...

Голяма част от потребителите на Windows 11 смятат, че с новото изда...
16 юни 2025

Глобалното прекъсване на услуги на Google Cloud...

Големият срив на Google Cloud в четвъртък, 12 юни, засегна широк кр...
16 юни 2025

Хакери използват изтрити и изтекли покани за Di...

Хакери са открили начин да превземат изтрити и изтекли покани за съ...
Бъдете социални
Още по темата
16/06/2025

WestJet потвърди кибератака...

WestJet, втората по големина авиокомпания на...
15/06/2025

Cloudflare потвърди: Масови...

Cloudflare потвърди, че масовият срив на...
13/06/2025

Хакери атакуват с TeamFiltr...

Хакерска група, известна като UNK_SneakyStrike, използва...
Последно добавени
16/06/2025

Grafana — над 46 000 сървър...

Над 46 000 Grafana сървъри с...
16/06/2025

WestJet потвърди кибератака...

WestJet, втората по големина авиокомпания на...
16/06/2025

Anubis с нов разрушителен м...

Групата Anubis, действаща като платформа „рансъмуер...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!